校园网安全分析与实现
校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet 技术等为基础建立起来的计算机网络,一方面连接学校内部子网和分散于校园各处的计算机,另一方面作为沟通校园内外部网络的桥梁。但由于计算机网络具有形式多样性,终端分布不均匀性和网络的开放性,互连性等特征,使得网络信息安全日益成为一个至关重要的问题。计算机校园网络系统是学校重要的现代化基础设施,应为学校的师资培训、教学科研、科室办公、现代化管理等提供先进、可靠、安全、快捷的计算机网络环境。因此,保障校园网络信息安全越来越成为一个不可回避的问题。
1校园网的安全隐患
校园网具有速度快、规模大,计算机系统管理复杂,用户非常活跃,相对开放的网络环境,有限的资金及人力投入等特点,这些特点使校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
1.1普遍存在的计算机系统漏洞
安全漏洞是指允许任意用户未经授权获得访问,或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性,网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。例如:
1.1.1VM漏洞。此漏洞可能造成信息泄露,并执行攻击者的代码。攻击者可通过向JDBC 类传送无效的参数使宿主应用程序崩溃,攻击者需在网站上拥有恶意的applet并引诱用户访问该站点。恶意用户可在用户机器上安装任意DLL,并执行任意的本机代码,潜在地破坏或读取内存数据。
1.1.2帐号快速切换漏洞。Windows操作系统快速帐号切换功能存在问题,可被造成帐号锁定,使所有非管理员帐号均无法登录。Windows操作系统设计了帐号快速切换功能,使用户可快速地在不同的帐号间切换,但其设计存在问题,可被用于造成帐号锁定,使所有非管理员帐号均无法登录。配合帐号锁定功能,用户可利用帐号快速切换功能,快速重试登录另一个用户名,系统则会认为判别为暴力破解,从而导致非管理员帐号锁定。
1.2计算机病毒入侵
计算机病毒是校园网安全最大威胁,能够通过计算机网络、存储介质等进行传播。其中,网络病毒具有传染方式多、传播速度快、影响面大、清除难度大、破坏力强的特点。近年来的CIH病毒、爱虫病毒、熊猫烧香病毒等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。网络蠕虫病毒的危害日益严重,种类和数量日益增多,发作日益频繁。现在,蠕虫病毒往往与黑客技术结合,计算机中毒发作后,常导致拒绝服务攻击(DoS),连累全网服务中断。过去,病毒最大的“本事”是复制自身到其他程序。现在,它具有了蠕虫的特点,通过网络到处乱窜。还有些病毒具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。
校园网中病毒的主要来源有盗版光盘、电子邮件、恶意的网页、网络共享、U盘等。主要入侵途径见下:
1.2.1轻率地使用盗版光盘上的软件,因为光盘是只读的,即便发现了病毒也无法删除,再加上它廉价的优势,很容易误用。
1.2.2随着互联网的发展,电子邮件被频繁地使用,这给蠕虫类病毒提供了良好的空间,毫无防备的接收电子邮件,甚至是仅仅选中了一封邮件的标题头,就有可能使病毒在你的机器里安家落户了。
1.2.3浏览网页是绝大多数上网者的事情,令人遗憾的是,过去一直被认为浏览网页是安全的观念现在已经被彻底打破,大量事实表明仅仅是阅读了某些网页(当然是含有恶意代码的网页,事实上你并不知道它有害),就完全有可能在你的机器上运行任何程序,比如格式化你的硬盘,安装木马,把你的浏览器肆意篡改,限制某些功能等等。
1.2.4在校园网中设置网络共享可以极大的方便用户共享信息,但是不幸的是如果共享文件中有病毒,它就会感染使用此共享文件的系统,进而影响到所有的用户。
1.2.5来自U盘的入侵,校园网方便了人们的数据交流,但由于U盘携带方便,U盘的使用率很高,如果不小心使用了带有引导区病毒的U盘,尽管这种病毒不能成功的驻留你的机器,但是它有可能破坏你的硬盘分区,导致数据丢失。
1.3来自网络外部的入侵、攻击等恶意破坏行为
随着网络技术的发展,各种网络攻击事件频频发生,黑客的恶意行为给人们带来了难以估量的损失,甚至有些教师一上网就心有余悸。分析网络攻击将有助于做好防范措施。网络攻击主要有以下几种形式:
1.3.1拒绝服务(DOS):就是对服务器产生大量的服务请求,使服务器忙于响应大量的应答讯息,造成的现象为TCP/IP栈崩溃,导致与Internet的连接中断、有无数的窗口被打开、系统死机,甚至重新启动等等,使得服务器系统不胜负荷,致使服务器丧失提供正常服务的能力。这种攻击不需要高深的知识,仅从网上下载一些程序WinNuker,FluSho等,甚至使用简单的网络命令Ping(伪装IP地址),也能够造成系统资源大量消耗,最终形成DOS攻击,致使系统崩溃。
1.3.2木马程序:你的机器上一旦被人种植了木马,就意味着你的机器就可以被别人像你自己一样使用,你的一举一动都在他人的掌握之中,甚至利用你的机器去做些你不知道的事情,而那个人可能是在地球的那一边,很难发现他。
1.3.3黑客入侵:是指某些具有顶尖网络技术的人士,使用扫描程序发现系统开放的端口和漏洞,然后通过特殊的程序或进行特定操作就能够控制整个系统。
黑客大多利用系统中的安全漏洞非法进入他人计算机系统,通过获取口令、控制中间站点、获得超级用户权限,达到读取他人电子邮件、搜索和盗用私人文件、毁坏重要数据、破
坏整个系统的目的。黑客常用的攻击手段主要有:网络监听、地址欺骗、会话劫持、拒绝服务攻击。
1.4校园网内部的威胁
1.4.1IP地址盗用主要有IP地址的盗用,混用问题,校园网内部连接的计算机有的是得到合法的IP地址,有的没有申请过IP地址,如果没有IP地址的用户冒用合法用户的IP地址上网,这就是IP地址的盗用;IP地址的混用是指用户由于某些原因,人为地修改了机器的静态的IP地址。这两种情况都能造成局域网内部地址的冲突,严重影响着网络的正常使用。
1.4.2校园网内部用户对网络资源的滥用有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,占用了大量珍贵的网络带宽,从而影响网络的速度。
1.4.3垃圾邮件、不良信息的传播对于校园网络,由于使用人群的特定性,必须要对网络的有害信息加以过滤,防止一些色情、暴力和反动信息危害学生的身心健康,必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。
2安全解决方案
好的安全解决方案要从环境、用户、产品、意识等方面来考虑,进行综合分析,逐个解决存在的问题,把可能发生的危害排除在发生之前,达到安全防护的目的。并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中,而不是顾此失彼,仅仅强调某个环节。
2.1校园网络的IP路由信息和访问范围的控制管理
校园网络主要采用TCP/IP网络协议,网上的路由器间需要交换路由信息,IP路由信息交换有动态和静态两种方式。采用静态路由协议,与上一级网络中心相连,不采用RIP主要原因是为了防止网络上不正确的路由信息对本校园网络的影响。
为了控制用户访问一些网络采用IP的限制,在路由器上加入这两条指令:【1】
该规则表示只有3网段上192.168.3.0-192.168.3.31的用户才能访问国外网站这样防止其他用户访问国外网站,避免造成国外流量剧增,从而增加经费开支(指按流量计用户)。
为了禁止网络不必要的端口连接,在路由器上加入如下指令:【2】
该规则表示访问列表序号为101,禁止从一切主机建立与IP地址段为192.168.3.1-192.168.3.254的主机建立telnet(23)连接,同时禁止一切主机与主机之间的138端口的连接。
2.2采用虚拟局域网技术(VLAN)
VLAN能够帮助控制流量,提供更高的安全性,使网络设备的变更或移动更加方便。VLAN
